En dag i livet til en sikkerhetsanalyst

Av	Erik Inge Bolsø & Kacper Wysocki
Kontakt	kwy@redpill-linpro.com & knan@redpill-linpro.com
Dato	26.oktober, 2010

Kort om oss

Systemkonsulenter, avd. infrastruktur
... med sikkerhet som faggruppe-område
Vil vise et konkret angrepsscenario

Angrepsvektorer

Angrep på beskyttelsesverdig objekt:

fysiske angrep
sosiale angrep
virus & ormer
trojanske hester

Alle angrep er muliggjort ved hjelp av bugs!

Bedre sikkerhet

(eller: sov bedre om natten:)

Sikkerhetsvurdering av system
Sikkerhetsvurdering av applikasjon
Svartboks-pentesting (automatisk)
Sikrere design (planlagt informasjonsflyt)

Enda bedre sikkerhet

Forbedringer i infrastruktur:
Host-based Intrusion Detection
Network Access Control
Firewall med egress filter: ikke godt nok
Web Application Firewall

Sov bedre ved å være bedre

Det er lett å angripe, vanskeligere å forsvare
Intrusion Prevention System
Alle må få sikkerhetsopplæring
Demonstrasjon av scenario følger

Systemskisse

img/networkdiagram.png

tre nettverk: admin, home og evil

Hendelsen

15:30 - Web Client alert, XSS attempt
prioritet: høy, betydning: mulig lekasje
Det lokale insidens-respons teamet undersøker...

Hendelsen ... forklart

15:30 - Web Client alert, XSS attempt
prioritet: høy, betydning: mulig lekasje
Det lokale insidens-respons teamet undersøker...
15:30 - Portable executable binary file transfer
15:42 - Indisier tyder på ikke falsk alarm -> Eskaleres!

Endret synsvinkel:: Angriper

Angriper sender beskjed til offeret
Kontortider indikerer høy sannsynlighet for å lykkes
Beskjed blir lest på backoffice nett
Angriper kan ringe inn og overbevise offeret.

Synsvinkel :: Offeret

mottar post
klikker linken

Synsvinkel :: Offeret

Owned. Merket ingen ting?
Stakkars offer :-(

Å beskytte offeret

IPS dropper den slemme pakken
Hva om...
... ingen IPS, bare IDS?
... IPS ikke har en regel for angrepet?

Mer om angrepet

MSF laget av snille hackere
Sårbare IE, FF, Java, Flash, PDF..
Cross-platform
Payload kan være usynlig
Lokalt angrep? DNS kompromittert

Beskytte de uskyldige

HTTP Proxy
..dekker ikke alle angrep
Agent utfører integritetssjekker og loganalyse (HIDS)
White lists, compliance

Beskytte de uskyldige

HTTP Proxy
..dekker ikke alle angrep
Agent utfører integritetssjekker og loganalyse (HIDS)
White lists, compliance
Full Packet Capture

Spørsmål?

Vi liker spørsmål :-)

Referanser:

MSF: http://offensive-security.com/metasploit-unleashed

SET: http://secmaniac.com

SF : http://sourcefire.com

RL : http://redpill-linpro.com